Monica Gobbato
Avvocato digitale. Docente e consulente di privacy e diritto dell’informatica |Farmacista33
I Social network presentano molteplici opportunità in ambito sanitario ma anche rischi, facilmente evitabili se vengono adottate e applicate alcune raccomandazioni generali messe a punto dal Gruppo di lavoro ex art. 29 della Direttiva 46/95 e destinate ai soggetti deputati a disciplinare i servizi di social network, ai fornitori di tali servizi ed agli utenti. A illustrarle a Farmacista33, in un semplice decalogo, è Monica Gobbato, avvocato specializzato in privacy e diritto su internet.
1. Prevedere la possibilità di ricorrere a pseudonimi
La raccomandazione consiste nell’utilizzare il servizio attraverso uno pseudonimo (a mio parere abbastanza inutile nell’ottica di funzionamento dei social network in generale ma avente senso quando si comunicano dati sulla salute). Si rammenta che anche uno pseudonimo quando associato alla propria immagine reale o ad altre informazioni ci identificano facilmente, non avendo quindi alcuna utilità.
2. Fare in modo che i fornitori di questi servizi adottino un approccio trasparente nell’indicare le informazioni necessarie per accedere al servizio
I Fornitori devono fare in modo che gli utenti siano in grado di scegliere a ragion veduta se aderire o meno al singolo servizio, e di opporsi ad eventuali utilizzi secondari (quanto meno rifiutando le opzioni offerte) in particolare per quanto riguarda forme (mirate come ad esempio la profilazione) di marketing.
3. Introdurre l’obbligo di notifica di eventuali violazioni dei dati relativamente ai servizi di social network
L’unico modo per consentire agli utenti di fare fronte al rischio crescente di furti di identità consiste nel notificare loro ogni violazione della sicurezza dei dati con particolare attenzione a quelli sensibili e a quelli concernenti la salute. Così facendo, si potrebbe al contempo ottenere un quadro più preciso dell’effettiva capacità delle imprese di garantire la sicurezza dei dati degli utenti, oltre ad incentivare ulteriormente l’ottimizzazione delle misure di sicurezza adottate. Sarà obbligatorio con il Regolamento Europeo Privacy che entrerà in vigore nei prossimi giorni, il 4 maggio 2016.
4. Potenziare l’integrazione delle tematiche connesse alla privacy nel sistema educativo
Rivelare informazioni personali online è sempre più un fatto normale, soprattutto fra i giovani; pertanto, è necessario che i programmi didattici affrontino tematiche connesse alla privacy ed agli strumenti di autotutela disponibili.
Per i fornitori di servizi, garantire la sicurezza e la privacy dei dati personali degli utenti è questione di sopravvivenza. Se non saranno compiuti rapidi progressi in questo campo, gli utenti potrebbero perdere fiducia con un effetto economico negativo paragonabile alla crisi che colpì l’economia digitale verso la fine degli anni ’90.
5. Garantire la massima trasparenza nell’informare gli utenti
Rappresenta uno degli elementi più importanti per garantire la correttezza nell’impiego e nel trattamento di dati personali. C’è bisogno di ripensare alle modalità con cui molti fornitori di servizi oggi informano gli utenti. Oggi, e spesso ciò risponde ai requisiti fissati per legge, l’informativa sulla privacy fa parte delle “condizioni di prestazione del servizio”, talora complesse e articolate, rese note dal fornitore del servizio. In alcuni casi viene indicata anche la “privacy policy” seguita da quel determinato servizio. Alcuni fornitori hanno segnalato che, di fatto, solo una bassissima percentuale degli utenti scarica le informazioni in oggetto. Anche se l’informativa compare sullo schermo nel momento in cui si aderisce o ci si abbona ad un servizio, ed è accessibile anche in un secondo momento se l’utente lo desidera, è forse più indicato prevedere altre modalità di informazione degli utenti rispetto alle conseguenze potenziali delle attività compiute durante l’utilizzo di un servizio (ad esempio, qualora l’utente modifichi le impostazioni privacy relative, magari, ad un album di immagini), ricorrendo a dispositivi sensibili al contesto (context-sensitive) che permettano di fornire le informazioni volta per volta più opportune.
L’informativa resa all’utente deve comprendere, in modo specifico, informazioni sullo Stato in cui opera il fornitore del servizio, sui diritti riconosciuti agli utenti (accesso, rettifica, cancellazione) rispetto ai loro dati personali, se e come si trattano dati sulla salute. Le informazioni devono essere commisurate alle esigenze specifiche dell’utenza cui sono indirizzate.
6. L’informativa resa all’utente deve prendere in considerazione anche i dati relativi a soggetti terzi
I fornitori dei servizi di social network, oltre ad informare gli utenti sui meccanismi di trattamento dei dati personali di questi ultimi, dovrebbero indicare anche ciò che agli utenti è permesso o non permesso fare con i dati relativi a terzi eventualmente contenuti nei rispettivi profili – ad esempio, in quali casi debbano ottenere il consenso degli interessati prima di pubblicarne i dati (si pensi ad esempio ad un medico che descrive una patologia di un paziente, anche senza fare il nome ma rendendolo di fatto identificabile) o quali siano le possibili conseguenze se non si rispettano le regole.
Particolare importanza rivestono, a tale proposito, le foto che in grandi quantità figurano nei profili-utente e mostrano spesso altre persone (non di rado indicate addirittura con nome e cognome e/o associate ad un link al rispettivo profilo-utente). Occorre informare l’utente con chiarezza anche dei rischi comunque esistenti in materia di sicurezza e delle conseguenze derivanti dalla pubblicazione di dati personali in un profilo-utente, nonché della possibilità che soggetti terzi vi abbiano legittimamente accesso (compresi, ad esempio, forze dell’ordine e/o servizi segreti).
7. Tenere fede alle promesse fatte agli utenti
Una conditio sine qua non per favorire e conservare la fiducia da parte degli utenti consiste nel fornire informazioni chiare e inequivocabili su ciò che avverrà dei dati degli utenti nelle mani del fornitore del servizio. Alcuni fornitori in realtà non informano con chiarezza sul fatto che, ad esempio, per far comparire annunci pubblicitari sulla finestra del browser dell’utente può rendersi necessario trasmettere l’indirizzo IP di tale utente ad un altro fornitore diservizi che veicola il contenuto del messaggio pubblicitario – e talora ciò avviene attraverso informazioni che il fornitore del servizio di social network ricava dal profilo dell’utente. E’ vero che le informazioni contenute nel profilo in quanto tali non sono trasmesse al fornitore dei servizi di pubblicità, tuttavia ciò non vale per l’indirizzo IP (a meno che il fornitore di servizi di social network utilizzi, ad esempio, un proxy per nascondere al fornitore di servizi pubblicitari l’indirizzo IP dell’utente). Il problema è che alcuni fornitori di servizi di social network ritengono, erroneamente, che gli indirizzi IP non siano dati personali, mentre in molti Paesi lo sono.
8. Prevedere impostazioni di default orientate alla privacy
È fondamentale per tutelare la privacy degli utenti: è noto che soltanto una minoranza degli utenti che si iscrivono ad un servizio modifica le impostazioni di default, comprese quelle relative alla privacy. In questo caso la scommessa per i fornitori di servizio consiste nel selezionare impostazioni che offrano per default un livello elevato di privacy senza rendere inutilizzabile il servizio stesso; al contempo, la facilità di utilizzo delle funzioni di impostazione è fondamentale per far sì che gli utenti introducano modifiche personali. In ogni caso, per default non dovrebbe essere consentita l’indicizzazione dei profili-utente da parte dei motori di ricerca.
9. Migliorare il controllo da parte degli utenti sull’utilizzo dei dati contenuti nei loro profili:
a) All’interno della comunità di utenti: ad esempio, consentendo limitazioni alla visibilità integrale dei profili e dei dati contenuti in tali profili, nonché limitando la visibilità di tali informazioni nelle funzioni di “ricerca” all’interno della comunità di utenti. L’associazione di specifiche etichette (ad esempio, link a profili-utente in essere, oppure l’apposizione del nome delle singole persone raffigurate) dovrebbe essere vincolata al previo consenso dell’interessato.
b) Creare strumenti che consentano agli utenti di controllare l’utilizzo dei dati contenuti nei loro profili da parte di soggetti terzi – si tratta di un elemento essenziale soprattutto per gestire il rischio di furti di identità. Tuttavia, al momento sono pochi gli strumenti disponibili per controllare le informazioni una volta che siano state pubblicate.
10. Indicizzazione dei profili-utente
I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca.
